单点登录平台管理软件系统设计文档.docx

单点登录平台管理软件 设计方案 目录 一、 项目概述 1 二、 项目目标 1 三、 必要性分析 1 四、 定义 2 五、 项目需求 3 1. 概述 3 2. 功能需求分析 4 2.1. 系统实现结构图 5 2.2. 系统实现层次结构 5 2.3. 功能需求 6 2.4. 流程逻辑 11 3. 数据库设计 13 4. 服务器与成员网站接口规范 15 一、 项目概述 单点登录（Single Sign On），简称为 SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游” 它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。 SSO将一个企业内部所有域中的用户登录和用户帐号管理集中到一起，SSO的好处显而易见。 对于内部有多种应用系统的企业来说，单点登录的效果是十分明显的。很多国际上的企业已经将单点登录作为系统设计的基本功能之一。 二、 项目目标 通过建设与实现SSO，可以达到以下目标： 减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性。 实现安全的同时避免了处理和保存多套系统用户的认证信息。 减少了系统管理员增加、删除用户和修改用户权限的时间。 增加了安全性：系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限。 三、 必要性分析 鉴于单位运营的多个独立网站（称为成员站点），每个网站都具有自己的身份验证机制，这样势必造成：生活中的一位用户，如果要以会员的身份访问网站，需要在每个网站上注册，并且通过身份验证后，才能以会员的身份访问网站；即使用户以同样的用户名与密码在每个网站上注册时，虽然可以在避免用户名与密码的忘记和混淆方面有一定的作用，但是用户在某一段时间访问多个成员站点或在成员站点间跳转时，还是需要用户登录后，才能以会员的身份访问网站。这样不仅给用户带来了不便，而且成员网站为登录付出了性能的代价； 如果所有的成员网站，能够实现单点登录，不仅在用户体验方面有所提高，而且真正体现了平台的一体性。通过这种有机结合，能更好地体现公司大平台，大渠道的理念。同时，这样做也利于成员网站的相互促进与相互宣传。 正是出于上面的两点，单点登录系统的开发是必须的，是迫在眉睫的。 四、 定义 单点登录系统提供所有成员网站的“单一登录”入口。本系统的实质是含有身份验证状态的变量， 在各个成员网站间共用。单点登录系统，包括认证服务器(称Passport服务器)，成员网站服务器。 会员：用户通过Passport服务器注册成功后，就具有了会员身份。 单一登录：会员第一次访问某个成员网站时，需要提供用户名与密码，一旦通过Passport服务器的身份验证，该会员在一定的时间内，访问任何成员网站都不需要再次登录。 Cookie验证票：含有身份验证状态的变量。由Passport服务器生成，票含有用户名，签发日期时间，过期日期时间和用户其它数据。 五、 项目需求 1. 概述 （1）注册： a.成员网站重定向到Passport服务器的注册页面，并且带有返回URL和成员网站ID。 b.通过Passport注册页面创建会员后，保存会员验证票到数据库和passport服务器所在域cookie中。同时，在成员网站的数据库上创建与Passport服务器数据库中会员的映射关系。 c. 重定向到成员网站，填写会员个性信息。 d. 保存会员个性信息，并把重定向传入的验证票保存到本地cookie和创建Session状态变量。 （2）登录： a、 SSO系统要实现各个成员网站的无缝结合，只要会员经过了认证服务器的登录验证（Passport服务器），该会员访问其它任何的网站时，都不需要再次登录。 b、 会员在第一次登录时，Passport服务器验证身份之后，生成的cookie验证票，只需保存到Passport服务器所在域的cookie中，不能采用向每个成员网站所在的域中写cookie,防止响应时间太长，给会员带来不友好的浏览体验。同时，把下发给会员的cookie票保存到Passport服务器的数据库中，方便验证方式和会员行为统计的扩展。 c、 会员一经通过身份验证，成功登录了某个成员网站(假设为网站A),需要利用Session和cookie两种方式保存会员已经登录的状态。 d、 同一个浏览器进程中，会员在网站A的页面间跳转时，只需要根据Session中的状态变量加载登录框。不需要再与Passport服务器通信验证会员的身份。 e、 会员通过验证登录了网站A,若会员从网站A跳转或重新打